Kaum ein Element im Web ist so verbreitet und zugleich so oft falsch umgesetzt wie das Cookie-Banner. Fast jede Seite begrüßt Besucher heute mit einem Einwilligungsdialog, doch viele davon halten weder die rechtlichen Vorgaben ein noch respektieren sie die Menschen davor. Eine viel zitierte Untersuchung fand, dass nur 11,8 Prozent (Nouwens et al., CHI 2020) der untersuchten Banner die rechtlichen Mindestanforderungen erfüllten. Gleichzeitig nervt ein schlecht gebautes Banner Nutzer, verlangsamt die Seite und kann sogar der Marke schaden. Dabei ist die Grundidee einfach: Wer personenbezogene Daten über das technisch Notwendige hinaus verarbeitet, braucht dafür meist eine echte, freiwillige Einwilligung. Dieser Beitrag erklärt sachlich, was die DSGVO und das TTDSG verlangen, wann eine Seite überhaupt ein Banner braucht, welche Fehler immer wieder passieren und welche datensparsamen Alternativen es gibt. Er ersetzt keine Rechtsberatung, sondern beschreibt die technische und gestalterische Umsetzung aus Sicht einer Webagentur.
Wann eine Website überhaupt ein Banner braucht
Ein weit verbreitetes Missverständnis lautet, jede Website brauche zwingend ein Cookie-Banner. Das stimmt so nicht. Entscheidend ist nicht, ob eine Seite Cookies setzt, sondern wofür. Cookies und ähnliche Techniken, die für den Betrieb der Seite unbedingt erforderlich sind, dürfen ohne vorherige Einwilligung genutzt werden. Dazu gehören etwa das Speichern eines Logins, der Inhalt eines Warenkorbs, die gewählte Sprache oder Maßnahmen für Sicherheit und Lastverteilung. Erst wenn Daten darüber hinaus verarbeitet werden, also für Reichweitenmessung, Marketing oder das Einbinden externer Dienste, kommt eine Einwilligungspflicht ins Spiel.
Eine schlanke Informationsseite ohne Statistik-Tools, ohne Marketing-Pixel und ohne eingebettete Inhalte von Drittanbietern kann daher völlig ohne Consent-Banner auskommen. Sobald aber Analyse-Werkzeuge, Werbenetzwerke, eingebettete Videos, Kartendienste oder extern geladene Schriften ins Spiel kommen, greifen die Regeln. Der erste Schritt zu einem sauberen Datenschutz ist deshalb keine Banner-Software, sondern eine ehrliche Bestandsaufnahme: Welche Cookies und Dienste laufen tatsächlich, wer setzt sie, und sind sie wirklich nötig. Diese Inventur ist auch die Grundlage für die [DSGVO-Checkliste1, die wir in einem eigenen Beitrag beschreiben.
Kein Banner ist auch eine Lösung
Was DSGVO und TTDSG konkret verlangen
Zwei Regelwerke greifen ineinander. Die Datenschutz-Grundverordnung (DSGVO) regelt, wie personenbezogene Daten verarbeitet werden dürfen, und definiert, was eine wirksame Einwilligung ausmacht: Sie muss freiwillig, informiert, für den konkreten Zweck erteilt und ebenso leicht widerrufbar sein. Das TTDSG, das Telekommunikation-Telemedien-Datenschutz-Gesetz, regelt in Paragraf 25 speziell den Zugriff auf Informationen im Endgerät der Nutzer, also das Setzen und Auslesen von Cookies und ähnlichen Kennungen. Nur für das, was für den ausdrücklich gewünschten Dienst unbedingt erforderlich ist, gilt eine Ausnahme von der Einwilligungspflicht.
Wichtig ist der Zeitpunkt: Die Einwilligung muss vor dem Setzen nicht notwendiger Cookies eingeholt werden, nicht danach. Ein Banner, das im Hintergrund bereits Tracking startet, während der Nutzer noch überlegt, verfehlt seinen Zweck. Der Europäische Gerichtshof hat zudem klargestellt, dass vorangekreuzte Kästchen keine wirksame Einwilligung darstellen (EuGH, Rechtssache C-673/17, Planet49). Zustimmung entsteht nur durch eine aktive, bewusste Handlung. Wer diese Grundlagen kennt, erkennt schnell, warum so viele Banner in der Praxis nicht halten, was sie versprechen.
Kurz erklärt: TTDSG und der neue Name TDDDG
Die vier Merkmale einer wirksamen Einwilligung
Häufige Fehler bei Cookie-Bannern
Viele Banner scheitern nicht an bösem Willen, sondern an voreingestellten Vorlagen und dem Wunsch, möglichst viele Zustimmungen einzusammeln. Genau dieser Wunsch führt zu Gestaltungen, die die Freiwilligkeit untergraben. Ein großer, bunter Akzeptieren-Knopf neben einem blassen, versteckten Ablehnen-Link ist der Klassiker. Solche Muster werden oft als Dark Patterns bezeichnet und sind ein Hauptgrund, warum die eingangs genannte Untersuchung so viele Banner als nicht regelkonform einstufte. Die folgende Liste fasst die häufigsten Probleme zusammen, die uns in der Praxis begegnen (Projekterfahrung).
- Ablehnen ist schwerer als Zustimmen: kein gleichwertiger Ablehnen-Button auf der ersten Ebene
- Vorausgewählte Haken oder ein großer Akzeptieren-Knopf neben einem blassen Ablehnen-Link
- Tracking startet schon, bevor der Nutzer überhaupt geklickt hat
- Ein Nur-noch-schnell-Akzeptieren-Banner ohne echte Auswahlmöglichkeit
- Zustimmungswand, die die ganze Seite blockiert und Ablehnen faktisch unmöglich macht
- Kein einfacher Weg, die Einwilligung später zu widerrufen oder zu ändern
- Unklare oder unvollständige Angaben, welche Dienste welche Daten verarbeiten
Ein besonders häufiger technischer Fehler ist, dass externe Dienste bereits im Quelltext eingebunden sind und beim Seitenaufruf sofort laden, unabhängig vom Banner. Ein eingebettetes Video, eine Karte oder ein Schrift-Import von einem fremden Server überträgt dabei oft schon die IP-Adresse des Besuchers, bevor irgendeine Einwilligung vorliegt. Das Banner ist dann reine Kulisse. Sauber ist es nur, wenn solche Dienste erst nach aktiver Zustimmung nachgeladen werden, etwa über eine Vorschau mit Platzhalter, die den Inhalt erst auf Klick freigibt. Genau solche Dienste im Blick zu behalten, gehört zur laufenden [Website-Betreuung1.
Zustimmungswand mit Vorsicht
Datensparsame Alternativen zum Tracking
Der eleganteste Weg um ein aufdringliches Banner herum ist, weniger Daten zu erheben. Datensparsamkeit ist kein Verzicht, sondern oft die bessere Lösung: Wer nur das misst, was er wirklich braucht, hat sauberere Zahlen, schnellere Seiten und keinen Konflikt mit dem Datenschutz. Für viele kleine und mittlere Unternehmen reicht eine grobe Orientierung über Besucherzahlen und beliebte Seiten völlig aus. Dafür gibt es Ansätze, die entweder ganz ohne Cookies auskommen oder Daten so weit anonymisieren, dass kein Personenbezug entsteht und damit häufig keine Einwilligung nötig ist. Die genaue Bewertung im Einzelfall bleibt eine juristische Frage, die technische Umsetzung aber lässt sich datensparsam gestalten.
Serverbasierte Messung
Reichweite aus den ohnehin anfallenden Server-Zugriffen ableiten, ohne Cookies im Browser zu setzen. Grobe Trends statt personenbezogener Profile.
Anonyme Statistik
Analyse-Ansätze, die IP-Adressen kürzen und keine geräteübergreifende Wiedererkennung erlauben, sodass oft kein Personenbezug entsteht.
Externes lokal einbinden
Schriften, Skripte und Karten vom eigenen Server ausliefern statt von Drittanbietern. Kein Datenabfluss beim Seitenaufruf, schnellere Ladezeit.
Auch eingebettete Inhalte lassen sich datensparsam lösen. Statt ein Video oder eine Karte direkt zu laden, zeigt eine Vorschau zunächst nur ein Platzhalterbild und lädt den eigentlichen Inhalt erst, wenn der Nutzer bewusst darauf klickt. So entsteht der Datenabfluss nur bei denen, die den Inhalt wirklich sehen wollen. Schriften und Icons gehören auf den eigenen Server, wo sie ohnehin schneller ausgeliefert werden. Diese Maßnahmen reduzieren nicht nur die Zahl der einwilligungspflichtigen Dienste, sondern verbessern zugleich Ladezeit und Sicherheit, wie wir im Beitrag zu den [Grundlagen der Website-Sicherheit1 zeigen.
| Ansatz | Braucht meist ein Banner | Merkmal |
|---|---|---|
| Technisch notwendige Cookies | Nein | Login, Warenkorb, Sprache, Sicherheit |
| Serverbasierte Reichweitenmessung | Meist nein | Kein Cookie im Browser, grobe Trends |
| Anonyme Statistik ohne Wiedererkennung | Häufig nein | IP gekürzt, kein Personenbezug angestrebt |
| Externe Schriften und Karten (lokal) | Nein | Vom eigenen Server, kein Drittabruf |
| Klassische Analyse mit Wiedererkennung | Ja | Cookies und Profile, aktive Zustimmung |
| Marketing-Pixel und Werbenetzwerke | Ja | Datenweitergabe an Dritte, Einwilligung |
Die Tabelle zeigt das Grundmuster: Je weniger ein Dienst personenbezogene Daten sammelt und an Dritte weitergibt, desto eher lässt er sich ohne Banner nutzen. Wo eine Einwilligung nötig bleibt, sollte der Dialog fair gestaltet sein. Die Kunst besteht nicht darin, das perfekte Banner zu bauen, sondern die Zahl der einwilligungspflichtigen Dienste so klein wie möglich zu halten. Ob ein bestimmter Dienst im Einzelfall zustimmungsfrei ist, hängt von den Details ab und sollte im Zweifel rechtlich geprüft werden.
Ein sauberer Consent-Dialog: die Bausteine
Wenn ein Banner nötig ist, entscheidet die Gestaltung über Fairness und Akzeptanz. Ein guter Consent-Dialog gibt auf der ersten Ebene eine echte, gleichwertige Wahl: Alle akzeptieren und Alle ablehnen als gleich große, gleich sichtbare Schaltflächen, ergänzt um einen Weg zu den Einstellungen. Es gibt keine vorausgewählten Haken für nicht notwendige Zwecke, keine versteckten Ablehnen-Links und kein farbliches Nudging, das die Zustimmung optisch bevorzugt. Vor dem Klick läuft kein Tracking. Und die einmal getroffene Entscheidung lässt sich später jederzeit über einen dauerhaft erreichbaren Link ändern oder widerrufen.
- Ablehnen und Zustimmen auf der ersten Ebene, gleich groß und gleich sichtbar
- Keine vorausgewählten Haken für Analyse, Marketing oder externe Medien
- Kein Nudging durch Farbe, Größe oder Platzierung zugunsten der Zustimmung
- Nicht notwendige Dienste laden erst nach aktiver Einwilligung
- Klare Angaben, welcher Dienst welche Daten zu welchem Zweck verarbeitet
- Widerruf jederzeit über einen dauerhaft erreichbaren Link möglich
- Verlinkung zur Datenschutzerklärung mit Details zu allen Diensten
Praxis-Tipp für den Widerruf
Zur Ehrlichkeit gehört der Hinweis, dass Datenschutz ein bewegliches Feld ist. Gesetze werden angepasst, Gerichte präzisieren einzelne Fragen, und Aufsichtsbehörden veröffentlichen laufend neue Orientierungshilfen. Ein Banner ist deshalb nie für immer fertig, sondern Teil der laufenden Pflege einer Website. Wer Dienste ergänzt oder austauscht, muss den Consent-Dialog mitziehen. Ein sicherer, aktueller Betrieb, gutes [Hosting in Deutschland1 und regelmäßige Kontrolle der eingebundenen Dienste gehören zusammen. Dieser Beitrag ist ein Überblick aus technischer Sicht und ersetzt im Zweifel nicht die Einschätzung eines auf Datenschutz spezialisierten Rechtsberaters.